Naruszenie ochrony danych osobowych związane jest z kradzieżą laptopa użytkowanego przez jednego z pracowników SGGW. Na dysku znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych na studia w SGGW w ostatnich latach. Chodzi tu o imiona, nazwiska, pesele, adresy zamieszkania, dane dotyczące serii i numeru dokumentów tożsamości, nr telefonów komórkowych, czy wyników uzyskanych na egzaminie maturalnym.
Co ważne, nawet jeśli jeszcze nie doszło do wykorzystania danych osobowych, osoby których dane przetwarzano niezgodnie z przepisami, mogą dochodzić: zadośćuczynienia za narażenie na obawę przed kradzieżą tożsamości i koszty poniesione w celu ograniczenia ryzyka negatywnych konsekwencji
Osoby, których dane osobowe zostały naruszone, zarzucają uczelni brak odpowiednich środków technicznych i organizacyjnych pozwalających na przetwarzanie danych osobowych zgodnie z RODO. Ponieważ sprawa nie kwalifikuje się do rozpoznania w trybie pozwu zbiorowego, tysiące osób rozważa złożenie pozwów indywidualnych przeciwko SGGW.
Tymczasem SGGW w komunikacie zamieszczonym na jej stronie internetowej informuje, że dane osobowe studentów i kandydatów na studia w SGGW zostały wykradzione, gdyż jeden z pracowników lekkomyślnie kopiował je na przenośny komputer. Z kolei dziś pojawiło się doniesienie medialne, że o kradzież podejrzanych jest trzech obywateli Gruzji.
PUODO wszczyna czynności kontrolne
Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od SGGW i podjął czynności kontrolne. Mają one na celu ustalenie, czy przetwarzanie danych osobowych w SGGW odbywa się zgodnie z RODO.
Na podstawie czynności kontrolnych Prezes Urzędu Ochrony Danych Osobowych dokona oceny, czy administrator prawidłowo wypełnił m.in. obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą (o ile faktycznie wystąpiła sytuacja, w której administrator faktycznie ma obowiązek zawiadomienia). W przypadku poważnych naruszeń (z jakim mamy prawdopodobnie do czynienia w tym przypadku), bardzo ważny jest czas reakcji.
Dlatego, gdyby okazało się np. że administrator powinien powiadomić nie tylko Prezesa UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.
Konsekwencje
Co ważne, nawet jeśli jeszcze nie doszło do wykorzystania danych osobowych, osoby których dane przetwarzano niezgodnie z przepisami, mogą dochodzić: zadośćuczynienia za narażenie na obawę przed kradzieżą tożsamości i koszty poniesione w celu ograniczenia ryzyka negatywnych konsekwencji (np. koszty wymiany dowodu osobistego).
Każda osoba, która uzna, że jej dane osobowe są przetwarzane niezgodnie z prawem może złożyć skargę do Prezesa UODO. Niezależnie od złożenia skargi do Prezesa UODO, osoba taka może dochodzić swoich praw przed sądem cywilnym. Jeżeli osoba taka poniosła ona szkodę majątkową lub niemajątkową, ma także prawo uzyskać od administratora odszkodowanie.